网络安全状况分析报告-2019年5月

一、网络安全状况概述

2019年5月，互联网网络安全状况整体指标相对平稳，但出现了一些影响较大的安全事件。

臭名远扬的勒索软件GandCrab背后的运营团队宣称“赚够了退休的钱，将停止GandCrab的更新”，其作恶价值观影响极其恶劣。同时从深信服捕获的攻击事件来看，勒索病毒仍是主要危害，且勒索攻击者的针对性较强，主要结合社会工程、RDP远程爆破等手段投放病毒，制造行业和医疗行业在5月受灾较为严重。

微软在5月曝出多个安全漏洞，其中最为严重的是RDP（Remote Desktop Protocol，远程桌面服务）远程代码执行漏洞，编号CVE-2019-0708。由于该漏洞影响力和破坏力着实巨大，一旦被黑客利用该漏洞攻破，将会造成巨大损失。深信服已经多次提醒用户进行安全更新，做好针对该漏洞的防御措施。

此外，网络安全等级保护制度2.0（简称等保2.0）国家标准正式发布，网络安全由此进入新的发展阶段，等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等，网络安全也越来越受到大众关注，国家网络空间安全也会面临新的挑战。

5月，深信服安全云脑累计发现：

·恶意攻击17.93亿次，平均每天拦截恶意程序5784万次。

· 活跃恶意程序32150个，其中感染型病毒7844个，占比24.4%；木马远控病毒14324个，占比44.55%。挖矿病毒种类455个，拦截次数9.4亿次，较4月下降23%，其中Wannamine病毒家族最为活跃。

深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控，发现：

· 高危站点3932个，高危漏洞102105个，漏洞类别主要是CSRF跨站请求伪造，占比30%。

· 监控在线业务7776个，共识别潜在篡改的网站有233个，篡改总发现率高达3.06%。

二、恶意程序活跃详情

2019年5月，病毒攻击在5月结束了近月持续上升的态势，病毒拦截量比4月份下降近8%，近半年拦截恶意程序数量趋势如下图所示：

2019年5月，深信服安全云脑检测到的活跃恶意程序样本有32150个，其中木马远控病毒14324个，占比44.55%，感染型病毒7844个，占比24.4%，蠕虫病毒5813个，占比18.08%，勒索病毒535个，占比1.66%，挖矿病毒455个，占比1.42%。

5月总计拦截恶意程序17.93亿次，其中挖矿病毒的拦截量占比52.42%，其次是木马远控病毒（15.71%）、蠕虫病毒（11.97%）、后门软件（9.8%)、感染型病毒（8.94%）、勒索病毒（1.05%)。

2.1 勒索病毒活跃状况

2019年5月，共拦截勒索病毒数量1881万次。其中，WannaCry、RazyCrypt、GandCrab依然是最活跃的勒索病毒家族，其中WannaCry家族本月拦截数量有932万次，危害较大。

从勒索病毒倾向的行业来看，企业和教育感染病毒数量占总体的59%，是黑客最主要的攻击对象，具体活跃病毒行业分布如下图所示：

从勒索病毒受灾地域上看，广东地区受感染情况最为严重，其次是湖南省和浙江省。

2.2 挖矿病毒活跃状况

2019年5月，深信服安全云脑共拦截挖矿病毒9.40亿次，比四月下降23%，其中最为活跃的挖矿病毒是WannaMine、MinePool、Xmrig，特别是WannaMine家族，共拦截3.29亿次。同时监测数据显示，被挖矿病毒感染的地域主要有广东、北京、浙江等地，其中广东省感染量第一。

被挖矿病毒感染的行业分布如下图所示，其中企业受挖矿病毒感染情况最为严重，感染比例和4月基本持平，其次是政府和教育行业。

2.3 感染型病毒活跃状况

2019年5月，深信服安全云脑检测并捕获感染型病毒样本7844个，共拦截1.60亿次。其中Virut家族是成为本月攻击态势最为活跃的感染型病毒家族,共被拦截1.02亿次，此家族占了所有感染型病毒拦截数量的63.78%；而排名第二第三的是Sality和Pioneer家族，本月拦截比例分别是为22.32%和4.24%。5月份感染型病毒活跃家族TOP榜如下图所示：

在感染型病毒危害地域分布上，广东省（病毒拦截量）位列第一，占TOP10总量的35%，其次为浙江省和广西壮族自治区。

从感染型病毒攻击的行业分布来看，黑客更倾向于使用感染型病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的69%，具体感染行业分布如下图所示：

2.4 木马远控病毒活跃状况

深信服安全云脑5月检测到木马远控病毒样本14324个，共拦截2.82亿次，拦截量较4月上升14%。其中最活跃的木马远控家族是Drivelife，拦截数量达6138万次，其次是Injector、Zusy。具体分布数据如下图所示：

对木马远控病毒区域拦截量进行分析统计发现，恶意程序拦截量最多的地区为广东省，占TOP10拦截量的 29%，与4月份基本持平；其次为北京（12%）、浙江（11%）、广西壮族自治区（9%）和湖南（8%）。此外湖北、山东、江苏、四川、上海的木马远控拦截量也排在前列。

行业分布上，企业、教育及政府行业是木马远控病毒的主要攻击对象。

2.5 蠕虫病毒活跃状况

2019年5月深信服安全云脑检测到蠕虫病毒样本5813个，共拦截2.15亿次，但通过数据统计分析来看，大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Small家族，这些家族占据了5月全部蠕虫病毒攻击的95%，其中攻击态势最活跃的蠕虫病毒是Ramnit，占蠕虫病毒TOP10总量的51%。

从感染地域上看，广东地区用户受蠕虫病毒感染程度最为严重，其拦截量占TOP10总量的31%；其次为湖南省（16%）、浙江省（10%）。

从感染行业上看，企业、教育等行业受蠕虫感染程度较为严重。

三、网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国32631个IP在5月所受网络攻击总量约为7亿次。本月攻击态势较4月有小幅上升。下图为近半年深信服网络安全攻击趋势监测情况：

3.1 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示本月现网的攻击趋势：

· 攻击类型分布

通过对深信服安全云脑日志数据分析可以看到，5月捕获攻击以WebServer漏洞利用、系统漏洞利用、 SQL 注入攻击等分类为主。其中WebServer漏洞利用类型的占比更是高达53.30%，有3亿多的命中日志；系统漏洞利用类型均占比15.50%；Web扫描类型的漏洞占比8.60%。

主要攻击种类和比例如下：

· 重点漏洞攻击分析

通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出5月攻击利用次数最高的漏洞TOP20。

其中漏洞被利用次数前三的漏洞分别是Apache HTTP Server mod_log_config 远程拒绝服务漏洞、Apache Web Server ETag Header 信息泄露漏洞和NetBIOS名称查询响应漏洞，利用次数分别为285,573,813、29,091,319和24,438,711，较上月均有上升。

3.2 高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析，近年来 Java 中间件远程代码执行漏洞频发，同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式.

2019年5月，Windows SMB日志量达千万级，近几月攻击持上升趋势，其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多；Struts2系列漏洞攻击趋势近几月攻击次数小幅上升，Weblogic系列漏洞的攻击程波动状态，5月仅拦截二十万攻击日志；PHPCMS系列漏洞攻击次数较上月小幅上升。

· Windows SMB 系列漏洞攻击趋势跟踪情况

· Weblogic系列漏洞攻击趋势跟踪情况

· Weblogic系列漏洞攻击趋势跟踪情况

· PHPCMS系列漏洞攻击趋势跟踪情况

四、网络安全漏洞分析

4.1 全国网站漏洞类型统计

深信服网站安全监测平台5月对国内已授权的6130个站点进行漏洞监控，发现的高危站点3932个，高危漏洞102105个，漏洞类别主要是CSRF跨站请求伪造，信息泄露和XSS注入，总占比79%，详细高危漏洞类型分布如下：

具体比例如下：

4.2 篡改情况统计

5月总监控在线业务7776个（去重），共识别潜在篡改的网站有233个（去重），篡改总发现率高达3.06%。

其中首页篡改79个，二级页面篡改132个，多级页面篡改22个，具体分布图如下图所示：

上图可以看出，网站二级篡改为篡改首要插入位置，成为黑客利益输出首选。

五、近期流行攻击事件及安全漏洞盘点

5.1 流行攻击事件

(1)绕过杀软！SQL Server Transact-SQL 的无文件攻击姿势

近日捕获到一起绕过杀毒软件的无文件攻击事件，被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序，并且难以彻底清除。经分析排查，该木马通过弱口令爆破SQL Server服务器后，利用sqlserver Transact-SQL存储C#编译恶意代码，通过MSSQL作业定时执行存储过程，在受害主机下载恶意程序。具体详见:

https://mp.weixin.qq.com/s/itzMSLVWQbrzyKRTOhYtSQ

(2)【安全研究】Domain fronting域名前置网络攻击技术

Domain Fronting基于HTTPS通用规避技术，也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit，Cobalt Strike等团队控制服务器流量，以此来一定程度绕过检查器或防火墙检测的技术，如Amazon ,Google，Akamai 等大型厂商会提供一些域前端技术服务。具体详见：

https://mp.weixin.qq.com/s/9G1qh_azz6SAaZQ7KfvZlg

(3)警惕x3m勒索病毒——CryptON

CryptON勒索病毒最早出现在2017年2月份左右，曾有多家企业遭到攻击，近日深信服安全服团队接收客户反馈，主机被加密勒索，加密后缀为x3m，经过跟踪分析，拿到了相应的样本，确认样本为CryptON勒索病毒的变种版本，并对此勒索病毒样本进行深入的分析。具体详见:

https://mp.weixin.qq.com/s/h4c0n1gV-ghp5CKTo83HZA

(4)警惕Bizarro Sundown(GreenFlash)漏洞利用 工具 包传播Seon勒索病毒

国外安全研究人员捕获到一款名为Seon的勒索病毒，并且发现攻击者通过Bizarro Sundown(GreenFlash)漏洞利用工具包进行传播，该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件，修改文件后缀为 .FIXT，加密完成后弹出hta窗口与用户交互索要赎金。具体详见:

https://mp.weixin.qq.com/s/t_L9ARGiiCusImPvhB6ifA

(5)准备交赎金？当心Phobos勒索病毒二次加密！

深信服安全团队接到多家企业反馈，服务器遭到勒索病毒攻击，重要数据被加密。经安全团队专家排查，该病毒是近期较为活跃的一款勒索病毒，通常通过RDP暴力破解+人工投放的方式进行攻击，攻击者成功入侵后，通常会关闭系统的安全软件防护功能，运行勒索病毒，加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos。具体详见:

https://mp.weixin.qq.com/s/qe4MdwK6HAMHERF2xGo_EQ

5.2 安全漏洞事件

(1)【漏洞预警】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)

2019年5月14日，Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞，攻击者无需经过身份验证，只需要使用RDP连接到目标系统并发送特制请求，就可以在目标系统上远程执行代码。具体详见：

https://mp.weixin.qq.com/s/frh1wxIpX7ymfWkgx9cZ1g

(2)【漏洞预警】Intel Processor MDS系列漏洞预警

2019年5月14日，Intel官方披露了一系列推测性执行侧信道漏洞，统称为“Microarchitectural Data Sampling”(MDS)。该系列漏洞影响了一大批Intel处理器，漏洞允许攻击者直接窃取CPU缓冲区中的用户级和系统级秘密信息，包括用户秘钥、密码和磁盘加密秘钥等重要信息。具体详见:

https://mp.weixin.qq.com/s/SKwIj33sW8YjNNaFCgjYxg

(3)【更新】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)

2019年5月14日，Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞，攻击者无需经过身份验证，只需要使用RDP连接到目标系统并发送特制请求，就可以触发漏洞，实现在目标系统上远程执行代码。具体详见:

https://mp.weixin.qq.com/s/n796BxnA45aXjEmpbSIWNA

(4)【更新 · POC公开】Remote Desktop Protocol远程代码执行漏洞(CVE-2019-0708)预警

2019年5月31日，深信服安全团队发现公开的CVE-2019-0708的poc已在github上流传，并第一时间进行复现以及分析。经测试，该poc可导致目标主机蓝屏崩溃，特此再次发出预警。具体详见:

https://mp.weixin.qq.com/s/8FrgKsN0JdWnfSazAUL9wg

六、安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器，所以预防病毒入侵的主要手段是发现和修复漏洞，深信服建议用户做好以下防护措施：

（一）、杜绝使用弱口令，避免一密多用

系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，禁止密码重用的情况出现，尽量避免一密多用的情况。

（二）、及时更新重要补丁和升级组件

建议关注操作系统和组件重大更新，如永恒之蓝漏洞，使用正确渠道，如微软官网，及时更新对应补丁漏洞或者升级组件。

（三）、部署加固软件，关闭非必要端口

服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、防范漏洞利用，同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，提高系统安全基线，防范黑客入侵。

（四）、主动进行安全评估，加强人员安全意识

加强人员安全意识培养，不要随意点击来源不明的邮件附件，不从不明网站下载软件，对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患。

（五）、建立威胁情报分析和对抗体系，有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变，其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁，需要选择更强大和更智能的防护体系。